Tentukan detail Active Directory untuk direktori WorkSpaces Pools - Amazon WorkSpaces
Tentukan unit organisasi dan nama domain direktori untuk ADTentukan akun layanan untuk iklan Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tentukan detail Active Directory untuk direktori WorkSpaces Pools

Dalam topik ini, kami menunjukkan cara menentukan detail Active Directory (AD) Anda dalam halaman direktori Create WorkSpaces Pool WorkSpaces konsol. Saat membuat direktori WorkSpaces Pool, Anda harus menentukan detail iklan jika berencana menggunakan AD dengan WorkSpaces Pools Anda. Anda tidak dapat mengedit Active Directory Config untuk direktori WorkSpaces Pools Anda setelah Anda membuatnya. Berikut ini adalah contoh dari bagian Active Directory Config dari halaman direktori Create WorkSpaces Pool.

Bagian Active Directory Config pada halaman direktori Create WorkSpaces Pool
catatan

Proses lengkap untuk membuat direktori WorkSpaces Pool diuraikan dalam Konfigurasikan SAML 2.0 dan buat direktori WorkSpaces Pools topik. Prosedur yang diuraikan pada halaman ini hanya mewakili sebagian langkah dari proses penuh untuk membuat direktori WorkSpaces Pool.

Tentukan unit organisasi dan nama domain direktori untuk AD

Selesaikan prosedur berikut untuk menentukan unit organisasi (OU) dan nama domain direktori untuk AD Anda di halaman Buat direktori WorkSpaces Pool.

  1. Untuk Unit Organisasi, masukkan OU tempat kolam itu berada. WorkSpace akun mesin ditempatkan di unit organisasi (OU) yang Anda tentukan untuk direktori WorkSpaces Pool.

    catatan

    Nama OU tidak dapat berisi spasi. Jika Anda menentukan nama OU yang berisi spasi, ketika mencoba untuk bergabung kembali dengan domain Active Directory, WorkSpaces tidak dapat memutar objek komputer dengan benar dan domain bergabung kembali tidak berfungsi.

  2. Untuk nama domain Direktori, masukkan nama domain yang sepenuhnya memenuhi syarat (FQDN) dari domain Direktori Aktif (misalnya,corp.example.com). Masing-masing AWS Region hanya dapat memiliki satu nilai konfigurasi direktori dengan nama direktori tertentu.

    • Anda dapat bergabung dengan direktori WorkSpaces Pool Anda ke domain di Microsoft Active Directory. Anda juga dapat menggunakan domain Active Directory yang ada, baik berbasis Internet maupun lokal, untuk meluncurkan domain yang bergabung. WorkSpaces

    • Anda juga dapat menggunakan AWS Directory Service for Microsoft Active Directory, juga dikenal sebagai AWS Managed Microsoft AD, untuk membuat domain Active Directory. Kemudian, Anda dapat menggunakan domain itu untuk mendukung WorkSpaces sumber daya Anda.

    • Dengan bergabung WorkSpaces ke domain Active Directory Anda, Anda dapat:

      • Izinkan pengguna dan aplikasi Anda mengakses sumber daya Direktori Aktif, seperti printer dan berbagi file dari sesi streaming.

      • Gunakan setelan Kebijakan Grup yang tersedia di Konsol Manajemen Kebijakan Grup (GPMC) untuk menentukan pengalaman pengguna akhir.

      • Streaming aplikasi yang mengharuskan pengguna untuk diautentikasi menggunakan kredensi login Active Directory mereka.

      • Terapkan kebijakan kepatuhan dan keamanan perusahaan Anda ke instans WorkSpaces streaming Anda.

  3. Untuk akun Layanan, lanjutkan ke bagian Tentukan akun layanan untuk iklan Anda selanjutnya dari halaman ini.

Tentukan akun layanan untuk iklan Anda

Saat mengonfigurasi Active Directory (AD) untuk WorkSpaces Pool sebagai bagian dari proses pembuatan direktori, Anda harus menentukan akun layanan AD yang akan digunakan untuk mengelola AD. Ini mengharuskan Anda memberikan kredensi akun layanan, yang harus disimpan di AWS Secrets Manager dan dienkripsi menggunakan AWS Key Management Service (AWS KMS) kunci yang dikelola pelanggan. Di bagian ini, kami menunjukkan kepada Anda cara membuat AWS KMS kunci terkelola pelanggan dan rahasia Secrets Manager untuk menyimpan kredensil akun layanan AD Anda.

Langkah 1: Buat AWS KMS kunci yang dikelola pelanggan

Selesaikan prosedur berikut untuk membuat AWS KMS kunci yang dikelola pelanggan

  1. Buka AWS KMS konsol di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Pilih Buat kunci, lalu pilih Berikutnya.

  4. Pilih Symetric untuk jenis kunci, dan Enkripsi dan dekripsi untuk penggunaan kunci, lalu pilih Berikutnya.

  5. Masukkan alias untuk kunci, sepertiWorkSpacesPoolDomainSecretKey, dan kemudian pilih Berikutnya.

  6. Jangan memilih administrator kunci. Pilih Next untuk melanjutkan.

  7. Jangan tentukan izin penggunaan kunci. Pilih Next untuk melanjutkan.

  8. Di bagian Kebijakan kunci halaman, tambahkan yang berikut ini:

            {
            "Sid": "Allow access for Workspaces SP",
            "Effect": "Allow",
            "Principal": {
                "Service": "workspaces.amazonaws.com"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }

    Hasilnya akan muncul seperti contoh berikut.

    Sebuah contoh dari AWS KMS kebijakan kunci.

  9. Pilih Selesai.

    Klaster AWS KMS kunci yang dikelola pelanggan sekarang siap digunakan dengan Secrets Manager. Lanjutkan ke Langkah 2: Buat rahasia Secrets Manager untuk menyimpan kredensil akun layanan AD Anda bagian halaman ini.

Langkah 2: Buat rahasia Secrets Manager untuk menyimpan kredensil akun layanan AD Anda

Selesaikan prosedur berikut untuk membuat rahasia Secrets Manager untuk menyimpan kredensil akun layanan iklan Anda.

  1. Buka AWS Secrets Manager konsol di https://console.aws.amazon.com/secretsmanager/.

  2. Pilih Buat rahasia baru.

  3. Pilih jenis rahasia lainnya.

  4. Untuk pasangan kunci/nilai pertama, masukkan Service Account Name kunci, dan nama akun layanan untuk nilainya, seperti. domain\username

  5. Untuk pasangan kunci/nilai kedua, masukkan kunci Service Account Password untuk, dan kata sandi akun layanan untuk nilainya.

  6. Untuk kunci enkripsi, pilih AWS KMS kunci terkelola pelanggan yang Anda buat sebelumnya, lalu pilih Berikutnya.

  7. Masukkan nama untuk rahasia, sepertiWorkSpacesPoolDomainSecretAD.

  8. Pilih Edit izin di bagian Izin sumber daya halaman.

  9. Masukkan kebijakan izin berikut:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "workspaces.amazonaws.com"
                ]
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*"
        }
    ]
}

  10. Pilih Simpan untuk menyimpan kebijakan izin.

  11. Pilih Next untuk melanjutkan.

  12. Jangan mengkonfigurasi rotasi otomatis. Pilih Next untuk melanjutkan.

  13. Pilih Store untuk menyelesaikan menyimpan rahasia Anda.

Kredensi akun layanan iklan Anda sekarang disimpan di Secrets Manager. Lanjutkan ke Langkah 3: Pilih rahasia Secrets Manager yang berisi kredentail akun layanan AD Anda bagian halaman ini.

Langkah 3: Pilih rahasia Secrets Manager yang berisi kredentail akun layanan AD Anda

Selesaikan prosedur berikut untuk memilih rahasia Secrets Manager yang Anda buat di konfigurasi Active Directory untuk direktori WorkSpaces Pool Anda.

  • Untuk akun Layanan, pilih AWS Secrets Manager rahasia yang berisi kredensi akun layanan Anda. Selesaikan langkah-langkah berikut untuk membuat rahasia jika Anda belum melakukannya. Rahasianya harus dienkripsi menggunakan AWS Key Management Service kunci yang dikelola pelanggan.

Sekarang setelah Anda menyelesaikan semua bidang dalam bagian Active Directory Config dari halaman direktori Create WorkSpaces Pool, Anda dapat terus menyelesaikan pembuatan direktori WorkSpaces Pool Anda. Pergi ke Langkah 4: Buat direktori WorkSpace Pool dan mulai pada langkah 9 dari prosedur.